今月25日に正式リリースを控える「Ubuntu 24.04」ですが、明日に予定されていたベータ版のリリースが一週間延期される事がわかりました。
Ubuntu 24.04
Ubuntu 24.04はUbuntuの次期メジャーバージョンで「Noble Numbat」というコードネームがついています。
4月25日に正式リリースが計画されていますが、それ以前の計画として、4月4日にベータ版リリース、4月8日にベータフリーズ、4月11日にカーネルフリーズ、4月18日にファイナルフリーズを行う予定となっていました。この内、現時点で4月4日に予定されていたベータ版のリリースが11日に1週間延期されています*1。
それ以外の延期については明かされていませんが、ベータフリーズがほぼ確定でずれることが見込まれるほか、全体的に最大1週間遅延する可能性もあるかもしれません。
CVE-2024-3094
原因は「CVE-2024-3094」として登録されているxz-utilsへのバックドア混入です。この脆弱性は、Andres Freund氏によって発見され、RedHatによって登録されており、NISTによって脆弱性のスコアが満点の10(Critical)とされています*2。
問題を説明すると、xzの主要開発者であるJia Tanという人物が仕込んだもので、systemdを介してsshdの認証を突破し、悪意のある攻撃者がSSHでリモートからシステムにフルアクセスできるようになるというものです。この問題は、3年かけて行われた計画的なものであり、コードが難読化されるなど悪質です。
この問題が発覚した後から、各ディストリビューションの開発者あるいはメンテナ・管理者などはユーザーに影響について警告していました。Canonicalも例外ではなく、幸いStableのバージョンへの影響はなかったものの、開発中であったLTS 24.04で影響が確認されています。
Ubuntu 24.04はパッケージを再構成
Canonicalは、xz-utilsに問題のコードがコミットされた2月26日以降にプロビジョニングされたビルド環境で、Noble Numbat向けにビルドされた全てのバイナリパッケージを削除したうえで改めて再構築することを発表しました。これによって、ビルドに含まれるどのバイナリも脅威の影響を受けることはないとしています。
